Introducción
Una cadena de bloques (blockchain) es un sistema virtualmente distribuido que consiste en una serie de registros de datos inmutables con fecha y hora, con cada “bloque” de información almacenado en una amplia gama de redes informáticas. Cada vez se utiliza más en diversos ámbitos de la seguridad de la información, incluida la gestión de identidades. La gestión de identidades se refiere a todos los procesos y tecnologías que una organización utiliza para identificar, autenticar y autorizar a los usuarios a acceder a la información y los sistemas. Las soluciones de gestión de identidades Blockchain, cuando se implementan, ayudan a facilitar las iniciativas de regulación (Compliance) al ofrecer una forma segura para la gestión de identidades digitales con fines de regulación (Compliance). Las siguientes son algunas de las estrategias de cumplimiento para las soluciones de gestión de identidades basadas en blockchain.
Establecer una política de gestión de identidades basada en blockchain
Debe establecerse una política de gestión de identidades basada en blockchain para guiar todo el proceso de gestión de identidades. Debe especificar las funciones y responsabilidades de los miembros implicados, proporcionar supervisión y apoyo por parte de la alta dirección, especificar los permisos de acceso y prever sanciones en caso de infracción1 de sus protocolos. El resultado de la política debe ser una mejor visibilidad para todas las partes interesadas en el proceso de credencialización2, seguimiento y autenticación de usuarios, apoyo a una mayor privacidad de la información a través de claves privadas, minimización de datos, verificación de credenciales, y una mejora del cumplimiento normativo a través de contratos inteligentes codificados, entre otros aspectos.
Obtener el consentimiento del usuario para compartir datos
Los datos de identidad no deben compartirse sin el consentimiento explícito de las personas. Al implementar una solución de gestión de identidades basada en blockchain, es importante que cada vez que se soliciten datos, la solución pida al usuario que dé su permiso para mostrar una credencial concreta. Un sistema de gestión de identidades basado en blockchain también debe evitar el almacenamiento de información del usuario para prevenir la manipulación de los datos mientras están en reposo. Esto reduce los riesgos de incumplimiento de las leyes y normativas, especialmente en materia de privacidad.
Definir la propiedad y el control de los datos
A momento de implementar y gestionar una solución de gestión de identidades basada en cadenas de bloques, es imprescindible garantizar que las personas que accedan a los sitios web y aplicaciones tengan pleno control y propiedad de su identidad digital. No debe haber nadie capaz de obtener las identidades de los propietarios con el fin de acceder a los datos pertenecientes a los usuarios sin su consentimiento. Un sistema de gestión de identidades vinculado a blockchain debe ser muy seguro para los usuarios, quienes deben poder controlar su información personal identificable y ninguna transacción debe realizarse sin el consentimiento del propietario.
Implementar la identidad autosoberana (SSI) con fines de regulación (Compliance) de la normativa
El concepto de que las personas puedan almacenar sus propios datos de identidad en sus propios dispositivos se conoce como identidad autosoberana (SSI). Las soluciones de gestión de identidad basadas en blockchain deben estar descentralizadas, sin depender de una autoridad central para controlar los datos o con fines de verificación. Los identificadores descentralizados (DID) se refieren a identidades controladas por el propietario de la identidad independientemente de las autoridades centrales con datos almacenados en los dispositivos individuales de los usuarios. Estas identidades tampoco pueden reasignarse, lo que dificulta enormemente a los atacantes el acceso a una gran cantidad de información personal de una sola vez. Con los sistemas de almacenamiento centralizado, un atacante podría acceder a varias cuentas a la vez, pero con el almacenamiento descentralizado de ID basado en cadenas de bloques, el mismo atacante necesitaría atacar almacenes de datos individuales, lo que resulta costoso. Asegúrese también de que ninguna información sensible almacenada en los dispositivos de los usuarios esté respaldada por el Sistema de Archivos Interplanetario (IPFS). Un IPFS es una solución de gestión de identidades basada en blockchain que imposibilita el robo de datos y evita problemas de punto único de fallo (SPOF).
Implementar la incorporación de Conozca a su cliente (KYC)
KYC puede embarcarse en soluciones de gestión de identidad basadas en blockchain para permitir una verificación de identidad y procesos de regulación (Compliance) rápidos y seguros. Asocie las credenciales de verificación de los usuarios, como pasaportes y permisos de conducir, con sus DID. Una vez incorporados con éxito, expídales una credencial verificada (VC) que confirme las características físicas de los elementos KYC. Las credenciales verificadas pueden ser reutilizadas por organizaciones posteriores, que ya no necesitan realizar los costosos procesos KYC. Sólo tienen que confiar en la VC KYC, simplificando así unos procesos de cumplimiento que, de otro modo, serían complicados. El siguiente diagrama muestra la implementación de blockchain para los procesos KYC y las verificaciones que tienen lugar en todo el espectro de identidad.
Implementar contratos inteligentes
En la terminología de gestión de identidades de blockchain, los contratos inteligentes se refieren a piezas inmutables de código que mantienen de forma autónoma los términos y condiciones contractuales. Los contratos inteligentes están automatizados, tienen resultados irreversibles y pueden autoejecutarse basándose en criterios predeterminados regidos por los términos de los acuerdos contractuales entre las partes, tal y como están codificados en el programa del contrato inteligente. Son una parte muy importante de muchos sistemas blockchain, ya que permiten la divulgación controlada y segura de datos. Esto asegura el cumplimiento sin fisuras3 y garantizado de muchas leyes y reglamentos. Algunos ejemplos de contratos inteligentes de blockchain son Ethereum y Solana. Estos proporcionan beneficios de transparencia y seguridad y se pueden implementar en varios casos de uso, incluida la gestión de nóminas y pensiones, así como el pago de facturas.
Garantizar la minimización de datos
Un sistema de identidad basado en blockchain puede configurarse estratégicamente para minimizar los datos y ofrecer a los usuarios la opción de compartir sólo partes de una credencial que necesite el verificador o el regulador. Por ejemplo, la tecnología puede configurarse para mostrar únicamente la ciudad del usuario sin revelar su dirección completa, un proceso generalmente conocido como divulgación selectiva. También se pueden configurar capacidades de prueba de conocimiento cero para demostrar afirmaciones sin revelar ningún dato. Por ejemplo, uno puede utilizar soluciones de gestión de identidad basadas en blockchain para confirmar que tiene al menos 18 años antes de comprar alcohol sin revelar su fecha exacta de nacimiento. Los riesgos de violar los requisitos de cumplimiento se reducen al mínimo mediante la minimización de datos.
Habilitar pistas de auditoría y seguimiento de activos
Otra estrategia de cumplimiento para los sistemas de gestión de identidades basados en blockchain es habilitar y aplicar registros de auditoría. En la mayoría de los contextos empresariales, es un requisito básico de cumplimiento crear registros de las transacciones de los sistemas. Las tecnologías blockchain deben estar habilitadas para recopilar todos los registros y proporcionar una pista de auditoría, sincronizando los registros entre las partes y manteniendo continuamente la integridad de los registros. La capacidad de seguimiento de activos también puede incorporarse a los sistemas de gestión de identidad basados en blockchain, lo que ayuda a reducir los costes de gestión de inventarios al introducir la automatización en el proceso. Los dispositivos de seguimiento de activos basados en blockchain se están desplegando cada vez más en las industrias logísticas mundiales para proporcionar información en tiempo real en disciplinas como la supervisión logística, el seguimiento de contenedores y la prevención de robos de carga.
Configurar la interoperabilidad
Para garantizar una adhesión adecuada y completa a diversos requisitos de cumplimiento, asegúrese de que los sistemas de gestión de identidades basados en blockchain estén configurados para ser interoperables con otros sistemas. Esto permite a los usuarios transferir sus identidades a través de diferentes plataformas. La tecnología blockchain debe proporcionar una base para crear confianza, seguridad y transparencia en varios sistemas de gestión de identidades, facilitando el cumplimiento de varios requisitos al mismo tiempo. La interoperabilidad también permite la verificación multiparte, en la que una empresa central de servicios de identidad se sustituye por un grupo de entidades gobernadas por una red. Esto permite una mayor eficiencia del proceso de regulación (Compliance), al simplificar la coordinación de la complejidad entre todas las partes implicadas.
Invertir en personal cualificado
La implantación de soluciones de gestión de identidades basadas en cadenas de bloques nunca elimina la necesidad de contar con expertos cualificados que se encarguen de su funcionamiento. Se necesitan profesionales cualificados para diseñar e implantar sistemas de cadena de bloques, supervisar su funcionamiento para identificar anomalías, gestionar los controles de seguridad y responder a incidentes y ataques. Hay que invertir en el desarrollo de las habilidades de estos profesionales en diversos aspectos como la nube, el análisis de datos, las normativas de cumplimiento y las habilidades interpersonales necesarias[1].
Retos de la implementación de la gestión de identidades basada en blockchain
Aunque la gestión de identidades basada en blockchain se aplica cada vez más con fines de regulación (Compliance), existen retos asociados a su implementación. En primer lugar, al almacenar los datos de identidad de forma centralizada, las soluciones ofrecen la posibilidad de un único punto de fallo que comprometa todo el conjunto de identidades digitales. En segundo lugar, la tecnología se basa en técnicas criptográficas complejas. Por lo tanto, cualquier error puede dar lugar a una postura de seguridad insegura que puede ser explotada por los atacantes. A veces, las soluciones de gestión de identidades basadas en blockchain también pueden conllevar riesgos para la privacidad, ya que la información personal puede ser accesible cuando se coloca en una blockchain pública. Por último, la regulación (Compliance) también es difícil, ya que no existe una norma aceptada a nivel mundial para la gestión de identidades basada en blockchain y los marcos normativos en torno a este tipo de soluciones están aún en sus inicios.
Para contrarrestar los retos mencionados, las organizaciones deben instituir programas intensivos de educación y concienciación destinados a fomentar la adopción generalizada de soluciones de gestión de identidades basadas en blockchain y a disipar temores. También es fundamental que las organizaciones colaboren en el desarrollo de normas y reglamentos para el uso de la tecnología blockchain.
Conclusión
Las soluciones de gestión de identidades basadas en blockchain están ganando una inmensa popularidad en IAM debido a sus muchos beneficios desde el punto de vista de la regulación (Compliance). Si bien esto es recomendable, el proceso de aprovisionamiento puede ser bastante difícil para las estrategias deficientes. La gestión de identidades basada en blockchain para fines de regulación (Compliance) es un campo complejo que consiste en una amplia variedad de tecnologías, protocolos de seguridad e interacción humana. Esto exige estrategias bien pensadas, como las mostradas en este artículo.
Referencias
- Lukas Stockburger, Georgios Kokosioulis, Alivelu Mukkamala, Raghava Rao Mukkamala, Michel Avital (2021), Blockchain-enabled decentralized identity management: The case of self-sovereign identity in public transportation, Blockchain: Research and Applications, Volume 2, Issue 2 https://doi.org/10.1016/j.bcra.2021.100014.
- René Seifert (2020), Digital identities – self-sovereignty and blockchain are the keys to success, Network Security, volumen 2020, número 11, páginas 17-19, https://doi.org/10.1016/S1353-4858(20)30131-8.
- Sung C.S. y Park, J.Y. (2021), Understanding of blockchain-based identity management system adoption in the public sector, Journal of Enterprise Information Management, Vol. 34 nº 5, pp. 1481-1505. https://doi.org/10.1108/JEIM-12-2020-0532
- https://identitymanagementinstitute.org/iam-and-cybersecurity-in-the-blockchain-era/
1Suena raro, seria mejor usar “penalización en caso de no seguir los protocolos establecidos”
2Esta no es una palabra común, referencia: https://www.asale.org/damer/credencializaci%C3%B3n. Es mejor buscar una alternativa.
3Sin contratiempos, continuo, eficiente, serian mejores palabras.
Traducido por Hendrick Rasgado Matus, Vicente Muñoz Milchorena, y Nearshore Cyber.
About the Author: Abhishek Bansal is a thought leader in IAM with over a decade of experience in the cybersecurity industry. He has held senior cybersecurity leadership positions at large enterprises and was an early member of an IGAaaS-based cybersecurity startup. A recognized global leader in cybersecurity, angel investor, startup advisor, and subject matter expert in information security (Identity and Access Management, Identity Governance and Compliance), Abhishek has a rare ability to understand both the technical and business sides of the industry.
